特權存取管理 (PAM) 解決方案之優點與不足

更新於 2023/06/27閱讀時間約 7 分鐘
我們常常講要導入特權存取管理 (Privileged Access Management, PAM),將特權帳號收攏、集中管理。但特權存取管理解決方案真的有辦法達到防護效果嗎?對於合規有什麼作用?本文將聚焦於技術層面解析特權存取管理的定義與應用,並分析相關解決方案,與駭客可能會如何攻擊這樣的產品。

什麼是特權存取管理?

常見的特權管理基本上可以對應到兩個名詞:特權身份管理 (Privileged Identity Management, PIM) 以及特權存取管理 (Privileged Access Management, PAM)。
  • PIM 的目標是管理特權用戶的權限,防止他們在沒有監督的情況下進行重大更改。它通常用於控制具有高級權限的用戶,並監測他們的行為。
  • PAM 則強調管理對資源的存取,包括特權用戶的存取。它提供詳細的存取監控和日誌,以幫助公司報告其使用模式並滿足合規標準。
但這兩個名詞常常被混用。其原因在於 PIM 和 PAM 的功能與效果大幅重疊,基本上大家會希望一套軟體就能做完所有特權管理,所以各家廠商就開始擴充功能,PIM 也能做 PAM,PAM 也能做 PIM。因此本篇文章會將它們視為同一種類型的解決方案加以分析。
總結來說,有關「特權問題」的解決方案,其目的是對特權帳號或所有帳號進行限制,從而對受管制的電腦或需要使用這些帳號的系統進行控制。一般來說,這類解決方案還會提供監控、稽核功能以及一些可調整的控制措施(例如限制存取時間、可存取的服務等),其主要目的是限制特權帳號的使用並能夠進行稽核。
為了達到資安與維運之間的平衡,這些解決方案通常會針對臨時的權限開放提供審核流程。在經過特定設計的管理人員簽核通過後,可臨時開放權限,並指定開放時間,於過期後自動收回權限,以減輕對敏感資源的過度存取、非必要存取或誤用存取的風險。為了進一步保護這些特殊權限帳戶,PIM 在特定情況下能夠要求多重要素驗證等安全性原則選項。

常見解決方案舉例

以下舉出的解決方案皆以 Active Directory 為核心。實際上雲端或是 Linux 也有類似的解決方案。

Microsoft Identity Manager - PAM

這是微軟提供的一套關於地端 Active Directory 的特權管理方案,其設計原理與微軟過去推廣的 Enhanced Security Admin Environment (EASE) 相似,利用了 AD 安全邊界中的 Forest 概念。
該方案的流程如下圖所示:建立一個專用的 Forest(樹系)作為堡壘,透過 AD 樹系信任和 SIDHistory 屬性,在堡壘樹系中建立稽核和授權機制。移除舊樹系的特權帳號成員,只保留群組,並在堡壘樹系中建立相應的群組並設置 SIDHistory。只有符合政策設定的帳號才會被臨時加入堡壘樹系的群組中。
這種設置的優缺點也十分明顯。首先,設置程序複雜,門檻非常高。此外,微軟身份管理服務 (Microsoft Identity Manager, MIM) 的特權存取管理方案也即將停止支援。自 2016 年以來,微軟已不再針對 MIM 2016 進行大版本更新。
來源:微軟 PAM 文件

CyberArk - PSM

提到特權管理,業界經常會聯想到 CyberArk。他們的產品線中,與特權管理相關的解決方案首選 PSM (Privileged Session Manager)。
以下是從官方文件中摘錄的架構圖,該設計概念是在 Active Directory 中建立一個高權限的服務帳號,用於執行所有帳號密碼的重設和 Active Directory 的設定。使用者必須透過 PSM 來連接到指定的工作站,且先前提到的審核流程或雙重認證也可以進行相應的設定。
使用者經過授權後,PSM 會從保險櫃 (Vault) 中獲取相應帳號所需的密碼,並代表使用者進行連接。這個過程將被記錄下來,而當授權時間結束,系統將使用先前提到的高權限服務帳號重設相應帳號的密碼,以避免密碼被重複使用或遭到竊取後濫用。
來源:CyberArk 官方文件

駭客並沒有跟你走「特權管理」

以上是我製作的關係圖。正常使用者會透過 PAM 跟 Active Directory 主機驗證 ( 身份驗證主機 ),從而透過 PAM 登入目標工作站,但駭客如果能直接跟 Active Directory 主機連線做驗證,就有機會能過直接繞過「大家認為的特權帳號都要透過 PAM 」這件事,而這個做法在 Active Directory 的世界是相當常見的,因為加入網域的主機本身還是有許多功能需要跟 Domain Controller 溝通,網路必定是通的。
基於前面的介紹,我們可知特權管理的目的是限制正常登入和取得憑證的管道,且必須經過審核流程才能進行連線。這種限制不僅限制了合法使用者,也限制了駭客的存取。
然而,若實際以駭客的視角來看,在有特權管理的架構下,駭客可以採取哪些做法?又有哪些做法不可行呢?
  1. 帳密管道:傳統的帳密竊取方法肯定行不通,因為駭客無法得知密碼的真實形式,除非駭客能夠攻破特權存取管理 (PAM) 的伺服器。
  2. 網路連線:雖然工作站和伺服器在設計上只能透過 PAM 連線,但實際上,這些系統的網路設定是否真的如此嚴格?可能這些工作站和伺服器本身仍然可以被其他方式連線,這還是給駭客提供了攻擊的機會。
  3. 跳脫帳密驗證流程:雖然駭客無從得知特權帳號的密碼,但工作站和伺服器的驗證仍然是透過 Active Directory (AD) 進行的。那麼,在 AD 中是否存在無需密碼即可進行驗證的方式呢?答案是肯定的!舉例來說,Active Directory 支援使用憑證進行登入,因此駭客可以通過偽造或竊取憑證,進行 Kerberos Ticket 的申請。這種方法被稱為「Pass The Certificate」。如何偽造或竊取憑證不在本篇文章的討論範圍內,有興趣的人可以自行搜尋。
總結而言,特權管理的目的是為了限制存取管道並提高安全性,但駭客仍然有可能透過攻擊其他脆弱環節來獲取特權存取的管道。因此,在實施特權管理方案時,必須綜合考慮各種可能的攻擊方式並採取相應的防護措施。
就像我們知道,就算有特權管理軟體,駭客還是能直接攻擊 Active Directory 或是透過申請 Certificate 做 「Pass The Certificate」攻擊,加強監控是否有人利用 Certificate 方式登入,或是從特權管理 Proxy 主機以外的 IP 登入,都能大大提高安全性。

總結

在資安領域,我們經常能看到過度誇大資安產品成效或技術的情況,好像某某產品是一種資安萬靈丹,只要使用它就能解決所有問題。然而,實際情況並非如此,我們需要建立完善的防禦和響應機制。
因此,我撰寫了資安產品類型的科普文章,從攻擊和防禦的角度探討可能需要加強或需要注意的方面。就像本篇提到的特權存取管理 (PAM),它並不是無效的,只是存在著其他攻擊的可能性。這些都是我們作為資安專業人員需要注意並思考防禦機制的重要因素。
PAM 本身還是非常有用的產品,而現在也有許多 PAM 廠商支援不加入 Active Director 直接用 PAM 廠商設計的納管方式,那這樣要探討的就是 PAM 本身在這段的實作了,與等於把雞蛋放在同一個籃子的安全考量,這樣使用的人較少同時也是因為維運問題讓現有軟體能夠持續運行也是一大重點,現在鮮少見相關的攻擊案例,如果日後有見到會跟各位分享。
即將進入廣告,捲動後可繼續閱讀
為什麼會看到廣告
avatar-img
22會員
9內容數
分享對於資訊安全的分析和評(吐)論(嘈),趨勢觀察、技術分析、觀點評論、科普教育,除了特別專業的網路安全分享,也會穿插一些科普文章與實體安全討論,歡迎分享給你的親朋好友,畢竟多了解一些安全也就多一份保障。
留言0
查看全部
avatar-img
發表第一個留言支持創作者!
駭客花生醬的沙龍 的其他內容
你是否想過,如果哪些第三方服務突然中斷或是遭到駭客攻擊,會對你的單位造成什麼影響?本文會透過具體案例,解析資安事件發生時,駭客從攻擊服務供應商到進入單位內部的不同階段,並附上自檢表讓讀者迅速檢視自己是否對於供應鏈資安事件有所準備。
無論是線上匯款、帳戶申辦,還是購物結帳,在這個「無處不需要手機驗證碼」的世界,如果你還對「如何保護好手機號碼」沒概念,你可能會被盜刷一堆錢、背負莫名其妙的借貸債務、或是帳號被盜。 這篇文章會介紹關於 SIM 卡劫持攻擊與類似攻擊在台灣的發生案例,趕快來了解一下吧!
隨著「零信任架構」(Zero Trust Architecture) 一詞在臺灣風靡一時,各家資安廠商也搭上了這股風潮,什麼產品都要「零信任」一下。然而,有「零信任」的產品就是資安萬靈丹嗎? 零信任架構是什麼?
你是否想過,如果哪些第三方服務突然中斷或是遭到駭客攻擊,會對你的單位造成什麼影響?本文會透過具體案例,解析資安事件發生時,駭客從攻擊服務供應商到進入單位內部的不同階段,並附上自檢表讓讀者迅速檢視自己是否對於供應鏈資安事件有所準備。
無論是線上匯款、帳戶申辦,還是購物結帳,在這個「無處不需要手機驗證碼」的世界,如果你還對「如何保護好手機號碼」沒概念,你可能會被盜刷一堆錢、背負莫名其妙的借貸債務、或是帳號被盜。 這篇文章會介紹關於 SIM 卡劫持攻擊與類似攻擊在台灣的發生案例,趕快來了解一下吧!
隨著「零信任架構」(Zero Trust Architecture) 一詞在臺灣風靡一時,各家資安廠商也搭上了這股風潮,什麼產品都要「零信任」一下。然而,有「零信任」的產品就是資安萬靈丹嗎? 零信任架構是什麼?
你可能也想看
Google News 追蹤
Thumbnail
*合作聲明與警語: 本文係由國泰世華銀行邀稿。 證券服務係由國泰世華銀行辦理共同行銷證券經紀開戶業務,定期定額(股)服務由國泰綜合證券提供。   剛出社會的時候,很常在各種 Podcast 或 YouTube 甚至是在朋友間聊天,都會聽到各種市場動態、理財話題,像是:聯準會降息或是近期哪些科
Thumbnail
一個人 走了過來 指著朵朵浪花在礁石旁起舞 說 果然只有礁石才能激起美麗的浪花 這是在岸上 所以 我沒有賞他巴掌......
Thumbnail
幾個人在茶水間議論著:今天董事長秘書又穿得花枝招展。平常董事長秘書工作量很少,都只要幫老闆紀錄一下事情,鬧鐘響了提醒老闆要做什麼而已,幾乎甚麼事情都沒做。最近老闆一開心,工作量又更少了。而我們就做得半死,只因為她長得漂亮,所以可以有特權。
Thumbnail
與伙夫一同戰線的,有個伙食委員的職務,這,就是絕無僅有的摸魚位子了。
Thumbnail
沒事興起想說來個線上讀書會好了,不然書買了也一直沒看。然後就做了摘要的心智圖(好像都只有讀書會才會做這事兒)。 這本書主要談的就是利率、匯率政策對於經濟的影響。而央行長期的低利率、匯率政策,利弊均有,本書主要的批評在透明、問責的機制不佳,相對於米國而言有很多可以改進的地方這樣。
佛羅里達州的一名街頭賽車手因以每小時 100 英里的速度撞死兩名無辜者而被判入獄 24 年。Ford Mustang 撞上了 24 歲的 Jessica Reisinger-Raubenolt,她正想帶著她 1 歲的女兒 Lillia 坐在嬰兒車裡過馬路,因為兩個朋友不小心互相賽車。 做出這種行為的
Thumbnail
《致富的特權》這本書我已經看完,簡單來說我有一個心得,對於這本書的副標題「二十年來我們為央行政策付出的代價」的這枝箭指向彭淮南在位時的貨幣政策,是臺灣二十年來經濟發展之所以被扭曲的主因,如房價與所得等,我還是存保留的心態。
Thumbnail
在台北市的黑箱疫苗案後,柯文哲在臉書表示:「如果疫苗足夠,台灣怎麼會有疫苗特權階級?」這種本該是柯粉們拿來自我安慰的藉口,卻出自堂堂台北市長之口,連自己市政府分配的疫苗都要怪到中央、怪到人性,一向號稱實事求是的柯文哲,怎會走到如此田地?
Thumbnail
台北市好心肝診所6月8日爆發駭人聽聞事件,未依照指揮中心公布之順序,大規模違規施打疫苗。據了解,此前菲律賓也曾發生類似事件,當時便遭世衛組織(WHO)官員斥責,同時警告將取消由COVAX所提供的數百萬劑免費疫苗。如今台北市重蹈覆轍,恐害台灣面臨同樣困境。
Thumbnail
不會再有隨便哪一站,你都會等到對方而恣意隨興的下車站了。
Thumbnail
*合作聲明與警語: 本文係由國泰世華銀行邀稿。 證券服務係由國泰世華銀行辦理共同行銷證券經紀開戶業務,定期定額(股)服務由國泰綜合證券提供。   剛出社會的時候,很常在各種 Podcast 或 YouTube 甚至是在朋友間聊天,都會聽到各種市場動態、理財話題,像是:聯準會降息或是近期哪些科
Thumbnail
一個人 走了過來 指著朵朵浪花在礁石旁起舞 說 果然只有礁石才能激起美麗的浪花 這是在岸上 所以 我沒有賞他巴掌......
Thumbnail
幾個人在茶水間議論著:今天董事長秘書又穿得花枝招展。平常董事長秘書工作量很少,都只要幫老闆紀錄一下事情,鬧鐘響了提醒老闆要做什麼而已,幾乎甚麼事情都沒做。最近老闆一開心,工作量又更少了。而我們就做得半死,只因為她長得漂亮,所以可以有特權。
Thumbnail
與伙夫一同戰線的,有個伙食委員的職務,這,就是絕無僅有的摸魚位子了。
Thumbnail
沒事興起想說來個線上讀書會好了,不然書買了也一直沒看。然後就做了摘要的心智圖(好像都只有讀書會才會做這事兒)。 這本書主要談的就是利率、匯率政策對於經濟的影響。而央行長期的低利率、匯率政策,利弊均有,本書主要的批評在透明、問責的機制不佳,相對於米國而言有很多可以改進的地方這樣。
佛羅里達州的一名街頭賽車手因以每小時 100 英里的速度撞死兩名無辜者而被判入獄 24 年。Ford Mustang 撞上了 24 歲的 Jessica Reisinger-Raubenolt,她正想帶著她 1 歲的女兒 Lillia 坐在嬰兒車裡過馬路,因為兩個朋友不小心互相賽車。 做出這種行為的
Thumbnail
《致富的特權》這本書我已經看完,簡單來說我有一個心得,對於這本書的副標題「二十年來我們為央行政策付出的代價」的這枝箭指向彭淮南在位時的貨幣政策,是臺灣二十年來經濟發展之所以被扭曲的主因,如房價與所得等,我還是存保留的心態。
Thumbnail
在台北市的黑箱疫苗案後,柯文哲在臉書表示:「如果疫苗足夠,台灣怎麼會有疫苗特權階級?」這種本該是柯粉們拿來自我安慰的藉口,卻出自堂堂台北市長之口,連自己市政府分配的疫苗都要怪到中央、怪到人性,一向號稱實事求是的柯文哲,怎會走到如此田地?
Thumbnail
台北市好心肝診所6月8日爆發駭人聽聞事件,未依照指揮中心公布之順序,大規模違規施打疫苗。據了解,此前菲律賓也曾發生類似事件,當時便遭世衛組織(WHO)官員斥責,同時警告將取消由COVAX所提供的數百萬劑免費疫苗。如今台北市重蹈覆轍,恐害台灣面臨同樣困境。
Thumbnail
不會再有隨便哪一站,你都會等到對方而恣意隨興的下車站了。